コピー完了

記事TOP

WAFとは?仕組みとファイアウォール・IPS/IDSとの違い、種類

最終更新日時:
記事の情報は2021-06-01時点のものです。
WAFとは、ウィルスや不正アクセスなど、ネットワークを介した外部からの攻撃を防ぐセキュリティの一種です。WAFの仕組みや種類、効果、導入事例、ファイアウォールやIPS/IDSとの違いをボクシルが解説します。危険な目に合う前にWAFでリスクを低減。

多様化するサイバー攻撃の脅威から自社のWebサイトやシステムを守るためには、セキュリティの強化が不可欠だとお考えなのではないでしょうか。特に最近では総合的なセキュリティの構築に注目が集まっています。

Webアプリケーションを不正な攻撃から守る、WAF(Web Application Firewall)もそのひとつ。WAFの意味や導入効果はもちろん、他のセキリュティとの違いなどを詳しく理解し、総合的なセキュリティについて考えてみましょう。

関連記事
ファイアウォールとは
IPS・IDSとは
WAFの導入事例
WAF製品の比較
クラウドWAFの比較

ボクシルおすすめWAF 【Sponsored】

BLUE Sphere
無料トライアル:◯
フリープラン:✕
利用料金:45,000円~
・セキュリティ対策に加えて、サイバーセキュリティ保険も付帯
・あらゆるぜい弱性や攻撃にも対応する機能を搭載
・専門家による個別チューニングで高性能なWAF

WAFとは

WAFとはウイルスや不正アクセスなど、ネットワークを介した外部からの攻撃を防御するセキュリティの一種です。Web Application Firewall(ウェブアプリケーションファイアウォール)を意味する略称で、Webアプリケーションに特化してセキュリティを堅牢にします。

ネットショッピングやネットサーフィンにおいて、ユーザー/Webサイト間のデータ送受信、SNSログインといったリクエストによって動的ページが生成されるWebサイトで保守します。

WAFとファイアウォール、IPS/IDSの違い

WAFやファイアウォール、IPS/IDSは守る対象がそれぞれ異なり、3つを組み合わせることでセキュリティ網羅的に強化できます。

WAFはWebアプリケーションの前面に配置されるという特徴を持ち「ファイアウォール」「IPS/IDS」で保護が不可能な攻撃を、アプリケーションレベルで解析することにより無効化するという役割を持っているのです。

名称 保護のレベル
ファイアウォール ネットワークレベルの保護
IPS/IDS サーバーOS/ミドルウェアレベルの保護
WAF Webアプリケーションレベルの保護

ファイアウォール、IPS/IDS、WAFには、それぞれに守備範囲と得意分野がありますが、すべてが必要なシステムです。多様化するサイバー攻撃の防御には、ファイアウォール、IPS/IDS、WAFの3つの壁を利用する、総合的なセキュリティ構築が求められています。

ファイアウォール

ファイアウォールは、ネットワークにおいて不正アクセスを防御するセキュリティです。

IPアドレスやポート番号など、通信時にやりとりされる送信先および送信元の情報から通信を許可するかどうかを判断し、内部ネットワークへの侵入を防ぐ役割を担います。

IPS/IDS

IPS/IDSは、OSやミドルウェアなどプラットフォームレベルでのセキュリティであり、それぞれInstrusion Detection System(=IDS)とIntrusion Detection and Protection System(=IPS)が正式名称です。

ホスト型とネットワーク型にわかれ、防御範囲の広さが特徴です。設置場所によって役割は多少異なりますが、不正アクセスの監視、攻撃の検知および防御を行います。異常を検知すると管理者へ通知。万一の際に迅速な対応を行うことを目的として用いられます。

次の記事では、WAFの役割と特徴についてより詳しく解説しています。

WAFの導入事例!サイバー攻撃を無害化するWAF活用術
Webアプリケーションのぜい弱性を狙った悪質なサイバー攻撃が後を絶たない中、効果的な対策としてWAFが注目されてい...
詳細を見る

WAFの仕組み

WAFの仕組みは、シグネチャやホワイトリストが認められたものであるか判断するというものです。シグネチャはアクセスのパターンを、ホワイトリストは許可するシグネチャを登録するシステムです。つまりWAFは、許可されたアクセスパターン以外の通信を拒否することで悪意ある攻撃を阻止するセキュリティだといえます。

悪意のある攻撃は、Webサイトのセキュリティ欠陥(=ぜい弱性)を狙って行われます。もっとも望ましいのは欠陥自体を修正することですが、何らかの理由で修正を行えないというケースは少なくありません。しかし、WAFを用いることで防御対策を行えます。

WAFに関して知っておきたい用語一覧はこちらをご覧ください。

クラウドWAF徹底比較21選【価格&機能比較表あり】
Webサイトを外部攻撃から守るセキュリティ対策ツール「WAF」を徹底解説。 ツールの料金や機能を比較しおすすめのサ...
詳細を見る

WAF製品の選び方はこちらの記事をご覧ください。

WAF製品の比較14選!選び方や導入のポイントも解説
近年急速に需要が高まり、セキュリティ対策の主幹を担うようになった「WAF」。厳選された16製品を比較するとともに、...
詳細を見る

WAF製品の選び方ガイドは、本記事の一番下に掲載しています。ぜひ参考になさってください。

WAFの種類

WAFには大きく3つのタイプあり、導入および運用方法の違いでアプライアンス型、ソフトフェア型、クラウド型にわかれます。

アプライアンス型

防御に必要な専用機器(=ハードウェアアプライアンス)をネットワーク上に設置し、ソフトウェアを組み込んで利用する方法です。アプライアンスの購入と設置に併せ、運用も自社で行う必要があるため、トータルコストは他のWAFと比較するともっとも高くなります。

一方でネットワークでの構築となることから、大規模でも高いコストパフォーマンスが期待できます。

ソフトウェア型

既存のサーバーにソフトウェアをインストールするタイプのWAF。専用機器の設置が不要のため、導入コストの削減や短期間での導入が可能です。

ただし、ソフトウェアのインストールはサーバーごとに行う必要があるため、規模とコストが比例します。システム規模の見通しを誤ると運用コストが膨らみ続けるため、導入には十分な検討が必要です。運用はアプライアンス型と同じく自社で行います。

クラウド型

クラウド型WAFはサーバーの構築や機器の購入などが不要で、ネットワークの設定変更を行えば導入できるタイプ。費用面や導入期間などを比較すると、3タイプの中でもっとも効率的な運用が行えるのがクラウド型です。

また自社での運用も不要で、予算の見通しが立てやすい点も特徴。これらのメリットからクラウド型を選択する企業が増えており、近年セキュリティ市場で急成長を遂げています。

WAFのメリット・効果

DDoS攻撃やSQLインジェクションから守る

WAFが対応できる攻撃には、DDoS攻撃、SQLインジェクション、クロスサイトスクリプティング、ディレクトリトラバーサル、ブルートフォースアタック、バッファオーバーフローなど実に多くのものがあります。

WAFは一般的なファイアウォールでは防御できない攻撃にも対応可能です。WAFの提供を行う企業が、最新の攻撃にも迅速に対応する仕組みを整備しており、常に最先端の防御体制でWebサイトを攻撃から守れます。

DDos攻撃とは?対策方法・Dos攻撃との違い・おすすめ対処サービス【図解】
DDos攻撃とは複数のコンピューターから大量の処理要求を標的のサーバーに送り、サービスを停止させる攻撃です。企業や...
詳細を見る

ぜい弱性が見つかった際の予防に

Webアプリケーションにぜい弱性が発見された場合、不正な攻撃を受けるリスクはいっそう高まります。また、オープンソースのプログラムを利用している場合など、自社では対応できないケースも考えられます。

WAFは自社ではどうにもならない状況に備えた予防策としても力を発揮します。WAFを導入していれば、根本的な解決ができるまでの間も、安心してWebアプリケーションを利用できます。

他システムで防御できない領域

悪意のある攻撃からシステムを守るセキュリティシステムはいくつか存在しますが、それぞれの防御には得意分野があり、WAFにもWAFにしか守れない領域を持っています。

WAFが専門とするのは、Webアプリケーションの領域。送信元とWebサーバーの間で通信内容を監視し、Webアプリケーションへの攻撃を未然に防ぎます。

被害を最小限に抑える

万一攻撃を受けてしまった場合、被害を最小限に抑えることもWAFには可能です。一般的に、Webサイトが攻撃によって被害を受けると、サービスを停止して復旧作業が行われます。メンテナンスの時間が長引けば長引くほど損失が拡大するため、いち早い復旧が求められます。

Webサイトが攻撃を受けると、WAFは素早い原因調査と問題の解消に貢献します。目の前にある危機を最小限の被害で食い止め、被害の拡大を防ぎます。

WAFの導入事例

攻撃遮断くん

攻撃遮断くんとは、サイバーセキュリティクラウドが提供する、サーバーへのあらゆる攻撃を遮断できるクラウド型のサーバーセキュリティサービスです。外部からの攻撃による情報の漏えいや、Web情報の改ざん、サービスの妨害などのさまざまな被害を未然に防げます。

NTTドコモの導入事例

会社名:NTTドコモ業種:情報・通信業
事業内容:携帯電話などの無線通信サービスなどを提供している大手移動体通信事業

課題:サーバー増加と複雑化により導入コストが増加

最大手の通信事業者のためデータセンターが複雑に混在している状態であり、サーバー自体も各所に何百台もある状況だった。そのため既存のサービスでは導入コストが膨大になってしまうことが問題に。

結果:使い放題プランの採用でコスト削減

攻撃遮断くんの「使い放題プラン」を採用により、複数の拠点に何百台ものサーバーが存在していても、1つの契約のみですべてのサーバーをまかなえて、圧倒的なコストパフォーマンスでサーバー運用およびコストの課題を解決。

その他の事例や攻撃遮断くんについて詳しくはこちらから。

攻撃遮断くんとは?使い方・仕組み・評判・価格・導入事例 | 注目クラウドWAFの機能
サイバーセキュリティクラウドが提供する「攻撃遮断くん」は、国内12,000企業以上に導入され、継続率約99%と高い...
詳細を見る

デジサート クラウド型WAF(旧:シマンテック クラウド型WAF)

デジサート クラウド型WAF(旧:シマンテック クラウド型WAF)は、Symantecが提供するSaaSASPのWAFです。
SSLサーバー証明書でウェブサイトと安全に通信ができ、ウェブサイトやウェブサイトを構成するステムのぜい弱性により起こりうる情報漏えいを防ぎます。

アピリッツ

会社名:アピリッツ業種:システムインテグレータ
事業内容:各種Webサービスの企画・運営、コンサルティング・開発・保守 他

課題:海外製品の利用でトラブルが続出していた

海外製WAFを導入、運用を行ってきたが運用面に課題があった。 再起動時に Master/Slave の切り替えが正常に行われないことが多々あったり、ファームウェアアップデートが正しくアップデートが行われずに、サービス停止を伴うトラブルが発生することがあったりしたという。さらに、日本の環境では誤検知も多く運用コストが増大していた。

効果:運用に関する諸問題を解決

誤検知やアップデートなどの問題や課題となっていたエンジニアの運用負荷を大幅に削減。検証を実施し、約 1か月で移行を完了できた。

Scutum

Scutumは月額29,800円と比較的安価で利用できるセキュアスカイ・テクノロジーが提供するWAFです。
導入サイトは2,000以上と多くの実績があり、富士キメラ総研の調査結果によると国内のSaaS型WAF市場シェア連続No.1を獲得しているサービスです。

タワーレコード

会社名:タワーレコード業種:販売
事業内容:音楽ソフト、映像ソフト、書籍、雑誌、その他、雑貨などの販売・輸入・卸 他

課題:基準値を超える数のアクセスが常態化

基準値を超えるアクセスに対応するため、フロントサーバーをオンプレミスからクラウド環境への移行を行うことになった。さらに親会社のセキュリティ基準に合わせる必要も生じ、要求事項にWAFの導入が求められていた。

効果:アクセス数増加時も誤検知がなくなった

サイト全体で行うセールやポイントキャンペーンなどによってアクセスが増えるものの、期間中も誤検知を出さずに機能している。さらに、セキュリティやWAFの詳細を理解していない経営陣に対して、WAF導入の効果を示すことが、管理画面で見られる防御ログによって可視化できるという効果も大きかった。

Symantec Endpoint Protection Small Business Edition(SEP SBE)

SEP SBEは、小規模企業のセキュリティ面のニーズを満たすように設計されています。また、生産性を損なうことなく、マルウェアおよびゼロデイ攻撃を、侵入前の段階で迅速かつ効率的に阻止します。

はとバス

会社名:タワーレコード業種:観光
事業内容:一般乗合旅客自動車運送事業、一般貸切旅客自動車運送事業、第2種旅行業
他

課題:想定外のSQLインジェクションによりサイトを閉鎖に追い込まれた
バス旅行の販売や広報でWebを活用しており、総予約数の30%強がウェブサイトを経由した申し込みだった。従来からセキュリティ対策を実施していたものの、SQLインジェクション攻撃を受けたことで、ウェブサイトの改ざんが行われ閲覧者がウイルスに感染するように仕込まれた結果、ウェブサイトを閉鎖しないといけない状態に追い込まれた。

効果:Webサイトの早急な再開
アプリケーションの修正やパッチ当て、季節の商品コンテンツへの更新という作業も含めて17日間というスピードでWebサイトを再開できた。

関連記事
ファイアウォールとは
IPS・IDSとは
WAFの導入事例
WAF製品の比較
クラウドWAFの比較

WAFの導入を検討される方へ

WAF はWebアプリケーションに特化することで優れた特徴を保有し、中でもクラウド型は導入も手軽です。またファイアウォールやIPS/IDSなど他のセキュリティと組み合わせることで、より高いセキュリティの構築が可能になることがわかりました。

情報漏えいや改ざんなどのリスクは、以前にも増して大きくなっています。甚大な損害が生じる前に、WAF導入の重要性と必要性について考えてみる必要があるのではないでしょうか。下記の記事では、導入をご検討されている方向けに、WAF製品について詳しく紹介しています。ぜひともご参考にしてくださいね!

WAF製品の比較14選!選び方や導入のポイントも解説
近年急速に需要が高まり、セキュリティ対策の主幹を担うようになった「WAF」。厳選された16製品を比較するとともに、...
詳細を見る

BOXILとは

BOXIL(ボクシル)は企業のDXを支援する法人向けプラットフォームです。SaaS比較サイト「BOXIL SaaS」、ビジネスメディア「BOXIL Magazine」、YouTubeチャンネル「BOXIL CHANNEL」、Q&Aサイト「BOXIL SaaS質問箱」を通じて、ビジネスに役立つ情報を発信しています。

BOXIL会員(無料)になると次の特典が受け取れます。

  • BOXIL Magazineの会員限定記事が読み放題!
  • 「SaaS業界レポート」や「選び方ガイド」がダウンロードできる!
  • 約800種類のビジネステンプレートが自由に使える!

BOXIL SaaSでは、SaaSやクラウドサービスの口コミを募集しています。あなたの体験が、サービス品質向上や、これから導入検討する企業の参考情報として役立ちます。

BOXIL SaaS質問箱は、SaaS選定や業務課題に関する質問に、SaaSベンダーやITコンサルタントなどの専門家が回答するQ&Aサイトです。質問はすべて匿名、完全無料で利用いただけます。

BOXIL SaaSへ掲載しませんか?

  • リード獲得に強い法人向けSaaS比較・検索サイトNo.1
  • リードの従量課金で、安定的に新規顧客との接点を提供
  • 累計800社以上の掲載実績があり、初めての比較サイト掲載でも安心

※ 日本マーケティングリサーチ機構調べ、調査概要:2021年5月期 ブランドのWEB比較印象調査

WAF選び方ガイド
WAF
選び方ガイド
この記事が良かったら、いいね!をしてください!最新情報をお届けします!
御社のサービスを
ボクシルに掲載しませんか?
累計掲載実績700社超
BOXIL会員数130,000人超
編集部のおすすめ記事
WAFの最近更新された記事